多支 iPhone App 遭爆側錄手機螢幕,用戶資料「裸奔」

科技媒體 TechCrunch 近日與 The App Analytics 合作,調查了一系列的 app,發現不少都在沒有特地告知用戶的狀況下,紀錄用戶手機使用畫面。
評論
Photo Credit: REUTERS
Photo Credit: REUTERS
評論

科技媒體 TechCrunch 近日與 The App Analytics 合作,調查了一系列的 app,發現不少都在沒有告知用戶的狀況下,紀錄用戶手機使用畫面。

手機 app 紀錄用戶的每一次點擊與操作已經是基本,而這次調查的目標更針對 app 服務提供商客戶分析工具 Glassbox,因為使用 Glassbox 工具的 app 甚至有個功能,可以直接「重播」用戶使用自己 app 的螢幕畫面,藉此了解用戶使用過程有沒有碰到問題,或者研究用戶行為。

然而,根據報導,使用 Glassbox 服務的某些 app 螢幕畫面中需要填寫個人資料,比如加拿大航空雖然在傳送訂單畫面的時候會打上馬賽克,但是卻沒打好,造成使用者的信用卡號、護照資訊外露。而加拿大航空上週才剛爆發 2 萬筆用戶資料外洩的事件。

而且不僅員工可以看到「側錄用戶資料的螢幕畫面」,由於資料根本沒有加密,有心人都可攔截這些資訊。The App Analytics 受委託測試 Glassbox 網站上的示範 app,用中間人攻擊就能攔截加拿大航空 app 傳出的資料。

最後,這項計畫中測試的 app 全都沒有告知使用者,他們有側錄用戶手機畫面,並且傳送到 Glassbox 雲端或自己的伺服器,就算是落落長的用戶隱私協議裡都沒提到。

這篇報導中提到使用 Glassbox 螢幕側錄功能的 app 包括 Abercrombie & Fitch 及其姐妹品牌 Hollister、Hotels.com、Expedia、新加坡航空,以及加拿大航空。

在後續回應中,A & F 提到使用者條款中「授權我們辨認出客戶數位體驗中的問題,協助獲得更好的體驗。」加拿大航空則稱搜集用戶手機使用資訊,是確保能支援並解決用戶問題,他們也無法獲取自家 app 以外的螢幕畫面。而根據 Glassbox,他們的工具可以「重建」用戶使用手機的畫面。目前透過此工具並不需要向蘋果或使用者額外要求權限,Glassbox 也沒要求使用該工具的公司必須告知用戶,因此一般人根本無從得知自己的手機使用畫面遭到紀錄。

而這只是冰山一角,除了 Glassbox,市面上還有 Appsee、UXCam 等有提供開發商錄製用戶手機螢幕畫面的數據分析工具。在資安措施不確實,加密水準參差不齊,使用者條款又沒揭露的狀況下,各家 app 使用螢幕錄製功能雖然能快速解決用戶問題,但卻讓信用卡、護照、地址,甚至銀行帳戶全都露。





精選熱門好工作

Backend 工程師

Omlet Arcade 美商歐姆雷特
臺北市.台灣

獎勵 NT$15,000

(Platform)Senior Software Engineer

ShopBack 回饋網股份有限公司
臺北市.台灣

獎勵 NT$15,000

樂趣買Customer Service Specialist(Rakuma)

台灣樂天市場
臺北市.台灣

獎勵 NT$15,000